Ok, dette quelle che mi sembrano le basi, si può dire che ci sono molte cose avanzate da sapere, ne parlerò in seguito ma voglio dare le basi di quello che sarebbe da settare sempre per la sicurezza.
Voglio scrivere questo post perchè in futuro voglio creare una mini guida riassuntiva per settare in sicurezza un sito, se mi sono dimenticato qualcosa per favore aggiungetemelo nei commenti.
Sicurezza su un sito (il server lo tratterò a parte):
- prevenzione con captcha per registrazioni (per spam)
- prevenzione bruteforce nel login (non servono spiegazioni)
- nel caso di login non avere un utente admin (o administrator ecc)
- nel caso di login non avere password stupide come 123456 o vari altre boiate
- prevenzione scan del sito (generalmente si controllano il numero di 404) per evitare che si cerchino script/template/cose con vulnerabilità conosciute (ad esempio nel log del server ogni giorno si cerca dall’url “/admin /administrator /wp-admin” oppure i vari .js ecc)
- rimozione tag e esposizioni pubbliche di versioni del software (versione apache, wordpress ecc)
- cambio path classiche (es wp-admin wp-content) oppure limitazioni (es htaccess con filtro ip per aree riservate)
- filtri ip, blocchi ip
- filtri utente, blocchi per utente
- settaggio di permessi nel server per file critici
- settaggio per l’esclusione di file e cartelle nel file htaccess
- programmazione backup automatici
- programmazione script di monitoraggio se siti online
- programmazione scan di sicurezza automatici con report in caso di problemi
- cambio nomi conosciuti nel db (esempio cartelle “user” o altro) cambio di prefissi nel db (es “wp_”)